Configurar el intercambio de claves de Internet para el IPSec VPN Descargue este capítulo Configurar el intercambio de claves de Internet para el IPSec VPN Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Configurar el intercambio de claves de Internet para el IPSec VPN Encontrar la información de la característica Contenido Prerrequisitos de la Configuración de IKE Restricciones de la Configuración de IKE Información sobre configurar el IKE para el IPSec VPN Estándares Soportados para su Uso con IKE Ventajas IKE Modo Principal y Modo Dinámico de IKE Políticas IKE: Parámetros de Seguridad para la Negociación IKE Sobre las políticas IKE Pares IKE que convienen en una política IKE que corresponde con Autenticación IKE Firmas RSA. Nonces encriptados RSA Claves del preshared Configuración de modo IKE Cómo configurar el IKE para el IPSec VPN Crear las políticas IKE Restricciones Ejemplos Consejos de Troubleshooting Pasos Siguientes Configurar la autenticación IKE Prerrequisitos Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA Configuración de Llaves Previamente Compartidas Configuración del Modo de Configuración de IKE Restricciones Configurar una correspondencia de criptografía IKE para la negociación IPSec SA Ejemplos de Configuración de una Configuración de IKE Creación de Políticas IKE: Ejemplos Creación de Políticas IKE 3DES: Ejemplo: Creación de una Política IKE AES: Ejemplo: Configuración de la Autenticación IKE: Ejemplo: Adonde ir después Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información de la característica para configurar el IKE para el IPSec VPN Configurar el intercambio de claves de Internet para el IPSec VPN Primera publicación: 2 de mayo de 2005 Última actualización: De marzo el 22 de 2011 Este módulo describe cómo configurar el protocolo del Internet Key Exchange (IKE) para el Redes privadas virtuales (VPN) básico de la seguridad IP (IPSec). El IKE es un estándar del Key Management Protocol que se utiliza conjuntamente con el estándar del IPSec. El IPSec es una característica de la seguridad IP que proporciona la autenticación y el cifrado robustos de los paquetes IP. El IPSec se puede configurar sin el IKE, pero el IKE aumenta el IPSec proporcionando a las características adicionales, a la flexibilidad, y a la facilidad de la configuración para el estándar del IPSec. El IKE es un protocolo híbrido, ése implementa el intercambio de claves del Oakley y el intercambio de claves de Skeme dentro del marco del protocolo internet security association key management (ISAKMP). (el ISAKMP, el Oakley, y Skeme son protocolos de Seguridad implementados por el IKE.) Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para configurar el IKE para la sección del IPSec VPN”. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere. Contenido • Prerrequisitos de la Configuración de IKE • Restricciones de la Configuración de IKE • Información sobre configurar el IKE para el IPSec VPN • Cómo configurar el IKE para el IPSec VPN • Ejemplos de Configuración de una Configuración de IKE • Adonde ir después • Referencias adicionales Prerrequisitos de la Configuración de IKE • Usted debe ser familiar con los conceptos y las tareas explicados en el módulo “Configurar directivo de seguridad para los VPN con el IPSec.” • Asegúrese de que su Listas de control de acceso (ACL) sea compatible con el IKE. Porque la negociación IKE utiliza el User Datagram Protocol (UDP) en el puerto 500, sus ACL deben ser configurados para no bloquear el tráfico del puerto 500 UDP en las interfaces usadas por el IKE y el IPSec. Usted puede ser que necesite en algunos casos agregar una declaración a sus ACL para permitir explícitamente el tráfico del puerto 500 UDP. Restricciones de la Configuración de IKE Las restricciones siguientes son aplicables al configurar la negociación IKE: • El router de iniciación no debe tener un certificado asociado al peer remoto. • La clave del preshared debe estar por un nombre de dominio completo (FQDN) en ambos pares. (Para configurar la clave del preshared, ingrese crypto isakmp key el comando.) • El Routers de comunicación debe tener una entrada de host FQDN para uno a en sus configuraciones. • El Routers de comunicación debe ser configurado para autenticar por el nombre de host, no por la dirección IP; así, usted debe utilizar crypto isakmp identity hostname el comando. Información sobre configurar el IKE para el IPSec VPN • Estándares Soportados para su Uso con IKE • Ventajas IKE • Modo Principal y Modo Dinámico de IKE • Políticas IKE: Parámetros de Seguridad para la Negociación IKE • Autenticación IKE • Configuración de modo IKE Estándares Soportados para su Uso con IKE Cisco implementa los estándares siguientes: • IPSec — IP Security Protocol. El IPSec es un marco de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la capa IP; utiliza el IKE para manejar la negociación de los protocolos y de los algoritmos basados en la política local y para generar el cifrado y las claves de autenticación que se utilizarán por el IPSec. IPsec puede emplearse para proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host. • ISAKMP — Protocolo internet security association and key management. Una estructura del protocolo que define los formatos de carga, los mecánicos de implementar un Key Exchange Protocol, y la negociación de una asociación de seguridad. • Oakley — Un Key Exchange Protocol que define cómo derivar el material de codificación autenticado. • Skeme — Un Key Exchange Protocol que define cómo derivar el material de codificación autenticado, con el refresco dominante rápido. Las Tecnologías componentes implementadas para uso del IKE incluyen el siguiente: • AES: Advanced Encryption Standard. Un algoritmo criptográfico que protege la información sensible sin clasificar. El AES es aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el Data Encryption Standard (DES). El AES está diseñado para ser más seguro que el DES: AES ofrece una llave más larga, y garantiza que el único enfoque conocido para descifrar un mensaje es que el intruso pruebe cada llave posible. AES tiene una longitud de llave variable: el algoritmo puede especificar una llave de 128 bits (el valor predeterminado), una llave de 192 bits o una llave de 256 bits. • DES: Data Encryption Standard. Un algoritmo que se utiliza para cifrar datos de paquetes. El IKE implementa el 56-bit DES-CBC con el estándar explícito IV. El Cipher Block Chaining (CBC) requiere un vector de inicialización (iv) comenzar el cifrado. El IV se da explícitamente en el paquete IPsec. El Cisco IOS Software también implementa el cifrado del DES triple (168-bit), dependiendo de las versiones de software disponibles para una plataforma específica. Triple DES (3DES) es una potente forma de encripción que permite transmitir información confidencial por redes no confiables. Permite a los clientes, determinado en la industria de las finanzas, para utilizar la encripción de capa de red. Observe las imágenes del Cisco IOS que tienen encripción fuerte (incluyendo, pero no sólo, la función de encripción de datos 56-bit fija) están conforme a los controles de la exportación del gobierno de los Estados Unidos, y tienen una distribución limitada. Las imágenes que deben ser instaladas fuera de los Estados Unidos requieren una licencia de exportación. Los pedidos del cliente se pudieron negar o conforme al retardo debido a las regulaciones de gobierno de los Estados Unidos. Póngase en contacto con su representante de ventas o su distribuidor para obtener más información, o envíe un mensaje de correo electrónico a export@cisco.com. • SEAL: Software Encryption Algorithm. Un algoritmo alternativo a DES, 3DES y AES basados en software. SELLE el cifrado utiliza una clave de encripción del 160-bit y tiene un impacto más bajo al CPU cuando está comparado a otros algoritmos basados en software. • Diffie Hellman — Un protocolo del Cifrado de clave pública que permite que dos partidos establezcan un secreto compartido sobre un canal de comunicaciones unsecure. Diffie Hellman se utiliza dentro del IKE para establecer las claves de la sesión. Soporta el 768-bit (el valor por defecto), 1024-bit, 1536-bit, 2048-bit, 3072-bit, y 4096 grupos DH y la curva elíptica DH (ECDH) del 256-bit, especifica el grupo del 384-bit ECDH, y al grupo 2048-bit DH/DSA. • MD5 — Publicación de mensaje 5 variante (del Hash-Based Message Authentication Code (HMAC)). Un algoritmo de troceo usado para autenticar los datos del paquete. HMAC es una variante que proporciona un nivel adicional de hashing. • Familia SHA-2 y SHA-1 (variante HMAC) — Secure Hash Algorithm (SHA) 1 y 2. El SHA-1 y SHA-2 son algoritmos de troceo usados para autenticar los datos del paquete y para verificar los mecanismos de verificación de la integridad para el IKE Protocol. HMAC es una variante que proporciona un nivel adicional de hashing. La familia SHA-2 agrega el algoritmo de troceo del algoritmo de troceo del bit del SHA-256 y del bit del SHA-384. Estas funciones son parte de los requisitos de la habitación-B que comprenden de cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje. Vea Configurar directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de la habitación-B del Cisco IOS. • Firmas RSA. y nonces encriptados RSA — El RSA es el sistema criptográfico del clave pública desarrollado por el Rivest de Ron, el Shamir Adi, y Leonard Adleman. Las firmas RSA. proporcionan la no repudiación, y los nonces encriptados RSA proporcionan la renegación. (Repudation y el nonrepudation tienen que hacer con el traceability.) El IKE interopera con los Certificados X.509v3, que se utilizan con el IKE Protocol cuando la autenticación requiere los claves públicas. Este Soporte de certificado permite que la red protegida escale proporcionando al equivalente de un indicador luminoso LED amarillo de la placa muestra gravedad menor del ID digital a cada dispositivo. Cuando dos dispositivos se preponen comunicar, intercambian los Certificados digitales para probar su identidad (así quitando la necesidad de intercambiar manualmente los claves públicas por cada par o de especificar manualmente una clave compartida en cada par). Ventajas IKE El IKE negocia automáticamente a las asociaciones de seguridad IPSec (SA) y habilita las comunicaciones seguras del IPSec sin el preconfiguration manual costoso. Específicamente, el IKE proporciona las siguientes ventajas: • Elimina la necesidad de especificar manualmente todos los seguridad IPSec parámetros en las correspondencias de criptografía en ambos pares. • Permite que usted especifique un curso de la vida para IPSec SA. • Permite que las claves de encripción cambien durante las sesiones del IPSec. • Permite que el IPSec proporcione los servicios antireplay. • Soporte del Certification Authority (CA) de los permisos para una implementación manejable, scalable del IPSec. • Permite la autenticación dinámica de los pares. Modo Principal y Modo Dinámico de IKE El IKE tiene dos fases de negociación dominante: la fase 1 de la fase 1 y de la fase 2. negocia a una asociación de seguridad (una clave) entre dos pares IKE. La clave negociada en la fase 1 permite a los pares IKE para comunicar con seguridad en la fase 2. Durante la negociación de la fase 2, el IKE establece las claves (asociaciones de seguridad) para otras aplicaciones, tales como IPSec. La negociación de la fase 1 puede ocurrir usando el modo principal o el modo agresivo. El modo principal intenta proteger toda la información durante la negociación, significando que no hay información disponible para un atacante potencial. Cuando utilizan al modo principal, las identidades de los dos pares IKE se ocultan. Aunque este modo de operación sea muy seguro, es relativamente costoso en términos de tiempo requerido para completar la negociación. El modo agresivo tarda menos tiempo para negociar las claves entre los pares; sin embargo, abandona algo de la Seguridad proporcionada por la negociación del modo principal. Por ejemplo, las identidades de los dos partidos que intentan establecer a una asociación de seguridad se exponen a un eavesdropper. Los dos modos responden a diversos propósitos y tienen diversas fuerzas. El modo principal es más lento que el modo agresivo, pero el modo principal es más seguro y más flexible porque puede ofrecer a un par IKE más ofertas de la Seguridad que el modo agresivo. El modo agresivo es menos flexible y no como seguro, sino mucho más rápidamente. En Cisco IOS Software, los dos modos no son configurables. La acción predeterminada para la autenticación IKE (RSA-SIG, RSA-encr, o preshared) es iniciar al modo principal; sin embargo, en caso de que no haya información correspondiente para iniciar la autenticación, y allí es una clave del preshared asociada al nombre de host del par, Cisco IOS Software puede iniciar al modo agresivo. El Cisco IOS Software responderá en el modo agresivo a un par IKE que inicie al modo agresivo. Políticas IKE: Parámetros de Seguridad para la Negociación IKE Una política IKE define una combinación de parámetros de seguridad que se utilizarán durante la negociación IKE. Usted debe crear una política IKE en cada par que participa en el intercambio IKE. Si usted no configura ninguna políticas IKE, su router utilizará la política predeterminada, que se fija siempre a la prioridad más baja y que contiene el valor predeterminado de cada parámetro. Sobre las políticas IKE Porque las negociaciones IKE deben ser protegidas, cada negociación IKE comienza por el acuerdo de ambos pares en una política IKE (compartida) común. Esta directiva estado qué parámetros de seguridad serán utilizados para proteger las negociaciones IKE y los mandatos subsiguientes cómo autentican a los pares. Después de que los dos pares convengan en una directiva, los parámetros de seguridad de la directiva son identificados por un SA establecido en cada par, y estos SA se aplican a todo el tráfico subsiguiente IKE durante la negociación. Usted puede configurar las directivas múltiples, prioritarias en cada par — cada uno con una diversa combinación de Valores de parámetro. Sin embargo, por lo menos una de estas directivas debe contener exactamente el mismo cifrado, hash, autenticación, y Valores de parámetro de Diffie Hellman como una de las directivas en el peer remoto. Para cada directiva que usted cree, usted asigna una prioridad única (1 a 10.000, con 1 siendo la prioridad más alta). Incline si usted está interoperando con un dispositivo que soporte solamente uno de los valores para un parámetro, su opción se limita al valor soportado por el otro dispositivo. Independientemente de esta limitación, hay a menudo un equilibrio entre la Seguridad y el funcionamiento, y muchos de estos Valores de parámetro representan tal equilibrio. Usted debe evaluar los riesgos del nivel de seguridad para su red y su tolerancia para estos riesgos. Pares IKE que convienen en una política IKE que corresponde con Cuando la negociación IKE comienza, el IKE busca para una política IKE que sea lo mismo en ambos pares. El par que inicia la negociación enviará todas sus directivas al peer remoto, y al peer remoto intentará encontrar una coincidencia. El peer remoto busca una coincidencia comparando su propia directiva más prioritaria contra las directivas recibidas del otro par. El peer remoto marca cada uno de sus directivas en orden de su prioridad (prioridad más alta primero) hasta que se encuentre una coincidencia. Se hace una coincidencia cuando ambas directivas de los dos pares contienen el mismo cifrado, hash, autenticación, y Valores de parámetro de Diffie Hellman, y cuando la directiva del peer remoto especifica un curso de la vida que sea inferior o igual el curso de la vida en la directiva que es comparada. (Si los cursos de la vida no son idénticos, el curso de la vida más corto — de la directiva del peer remoto — será utilizado.) Si se encuentra una coincidencia, el IKE completará la negociación, y crearán a las asociaciones de seguridad IPSec. Si no se encuentra ninguna coincidencia aceptable, el IKE rechaza la negociación y el IPSec no será establecido. Observelos Valores de parámetro se aplican a las negociaciones IKE después de que se establezca IKE SA. Observedependiendo de qué método de autentificación se especifica en una directiva, configuración adicional pudo ser requerido (según lo descrito en la sección de la “autenticación IKE” de la sección). Si la directiva de un par no tiene la configuración requerida del compañero, el par no someterá la directiva al intentar encontrar una directiva que corresponde con con el peer remoto. Autenticación IKE La autenticación IKE consiste en las opciones siguientes y cada método de autentificación requiere la configuración adicional. • Firmas RSA. • Nonces encriptados RSA • Claves del preshared Firmas RSA. Con las firmas RSA., usted puede configurar a los pares para obtener los Certificados de un CA (CA se debe configurar correctamente para publicar los Certificados.) Usando CA puede mejorar dramáticamente la manejabilidad y el scalability de su red IPsec. Además, la autenticación basado en firmas RSA utiliza solamente dos operaciones del clave pública, mientras que la encripción RSA utiliza cuatro operaciones del clave pública, haciéndola más costosa en términos de rendimiento general. Para configurar correctamente el soporte de CA, vea las claves que despliegan del módulo “RSA dentro de un PKI.” Los Certificados son utilizados por cada par para intercambiar los claves públicas con seguridad. (Las firmas RSA. requieren que cada par tenga la clave pública de la firma del peer remoto.) Cuando ambos pares tienen certificados válidos, intercambiarán automáticamente los claves públicas por uno a como parte de cualquier negociación IKE en la cual se utilicen las firmas RSA. Usted puede también intercambiar los claves públicas manualmente, según lo descrito en la sección “configurando las claves RSA manualmente para los nonces encriptados RSA.” Las firmas RSA. proporcionan la no repudiación para la negociación IKE. Y, usted puede probar a otro vendedor después de que el hecho de que usted tenía de hecho una negociación IKE con el peer remoto. Nonces encriptados RSA Con los nonces encriptados RSA, usted debe asegurarse de que cada par tenga los claves públicas de los otros pares. A diferencia de las firmas RSA., el método de los nonces encriptados RSA no puede utilizar los Certificados para intercambiar los claves públicas. En lugar, usted se asegura de que cada par tenga el otro los claves públicas por uno de los métodos siguientes: • Manualmente configurando las claves RSA según lo descrito en la sección las “que configura claves RSA manualmente para los nonces encriptados RSA.” • Asegurándose de que un intercambio IKE usando las firmas RSA. con los Certificados haya ocurrido ya entre los pares. (Los claves públicas de los pares se intercambian durante las negociaciones IKE basado en firmas de RSA si se utilizan los Certificados.) Para hacer que sucede el intercambio IKE, especifique dos directivas: una directiva más prioritaria con los nonces encriptados RSA y una directiva de la prioridad baja con las firmas RSA. Cuando ocurren las negociaciones IKE, las firmas RSA. serán utilizadas la primera vez porque los pares todavía no tienen claves públicas de cada uno. Entonces las negociaciones IKE futuras pueden utilizar los nonces encriptados RSA porque los claves públicas habrán sido intercambiados. Observe esta alternativa requiere que usted hace ya el soporte de CA configurar. Los nonces encriptados RSA proporcionan la renegación para la negociación IKE; sin embargo, a diferencia de las firmas RSA., usted no puede probar a otro vendedor que usted tenía una negociación IKE con el peer remoto. Claves del preshared • Claves del preshared: Una descripción • Configuración de la identidad ISAKMP para las claves del preshared • Claves del preshared de la máscara • Xauth de la neutralización en un peer IPSec específico Claves del preshared: Una descripción Las claves del preshared son torpes utilizar si su red segura es grande, y no escalan bien con una red cada vez mayor. Sin embargo, no requieren el uso de CA, al igual que las firmas RSA., y puede ser que sean más fáciles de configurar en una pequeña red con menos que los diez nodos. Las firmas RSA. también se pueden considerar más seguras en comparación con la clave de autentificación del preshared. Observesi encripción RSA se configura y modo se negocia de la firma (y los Certificados se utilizan para el modo de la firma), el par pedirá la firma y las claves de encripción. Básicamente, el router pedirá tantas claves pues la configuración soportará. Si la encripción RSA no se configura, apenas pedirá una clave de la firma. Configuración de la identidad ISAKMP para las claves del preshared Usted debe fijar la identidad ISAKMP para cada par que utilice las claves del preshared en una política IKE. Cuando dos pares utilizan el IKE para establecer el SA de IPSec, cada par envía su identidad al peer remoto. Cada par envía su nombre de host o su dirección IP, dependiendo de cómo usted ha fijado la identidad ISAKMP del router. Por abandono, la identidad ISAKMP de un par es la dirección IP del par. Si es apropiado, usted podría cambiar la identidad para ser el nombre de host del par en lugar de otro. Como regla general, fije las identidades de todos los pares la misma manera — o todos los pares deben utilizar sus IP Addresses o todos los pares deben utilizar sus nombres de host. Si algunos pares utilizan sus nombres de host y algunos pares utilizan sus IP Addresses para identificarse el uno al otro, las negociaciones IKE podrían fallar si la identidad de un peer remoto no se reconoce y una búsqueda del Sistema de nombres de dominio (DNS) no puede resolver la identidad. Claves del preshared de la máscara Una clave del preshared de la máscara permite que un grupo de usuarios remotos con el mismo nivel de autenticación comparta una clave del preshared IKE. La clave del preshared del peer remoto debe hacer juego la clave del preshared del peer local para que la autenticación IKE ocurra. Una clave del preshared de la máscara se distribuye generalmente a través de un canal fuera de banda seguro. En un escenario par-a-local remoto del par, cualquier peer remoto con la clave del preshared IKE configurada puede establecer IKE SA con el peer local. Si usted especifica mask la palabra clave con crypto isakmp key el comando, incumbe hasta usted para utilizar a una dirección de subred, que permitirá que más pares compartan la misma clave. Es decir, la clave del preshared se restringe no más para utilizar entre dos usuarios. Observeusando 0.0.0.0 pues no recomiendan una dirección de subred porque anima las claves del preshared del grupo, que permiten que todos los pares tengan la misma clave del grupo, de tal modo reduciendo la Seguridad de su autenticación de usuario. Inhabilite el Xauth en un peer IPSec específico Inhabilitar el Autenticación ampliada (Xauth) para los peeres IPSecs estáticos evita que indiquen al Routers para la información del Xauth — nombre de usuario y contraseña. Sin la capacidad de inhabilitar el Xauth, un usuario no puede seleccionar qué par en la misma correspondencia de criptografía debe utilizar el Xauth. Es decir, si un usuario tiene IPSEC de router a router en la misma correspondencia de criptografía que un IPSec VPN-cliente-a-Cisco-IOS, indican a ambos pares para un nombre de usuario y contraseña. Además, un peer estático remoto (router del Cisco IOS) no puede establecer IKE SA con el router IOS del Cisco local. (Se borra el Xauth no es un intercambio opcional, así que si un par no responde a una petición del Xauth, IKE SA.) Así, la misma interfaz no se puede utilizar para terminar el IPSec a los clientes VPN (ese Xauth de la necesidad) y al otro Routers del Cisco IOS (que no puede responder al Xauth) a menos que se implemente esta característica. El Xauthde la nota puede ser inhabilitado solamente si las claves del preshared se utilizan como el mecanismo de autenticación para la correspondencia de criptografía dada. Configuración de modo IKE La configuración de modo IKE, según lo definido por la Fuerza de tareas de ingeniería en Internet (IETF) (IETF), permite que un gateway descargue la dirección IP (y la otra configuración del nivel de red) al cliente como parte de una negociación IKE. Usando este intercambio, el gateway da una dirección IP al cliente IKE que se utilizará como dirección IP “interna” encapsulada bajo el IPSec. Este método proporciona una dirección IP sabida para el cliente que puede ser correspondido con contra la directiva del IPSec. Para implementar el IPSec VPN entre los clientes de acceso remoto que tienen los IP Address dinámicos y un gateway corporativo, usted tiene que administrar dinámicamente la directiva scalable del IPSec en el gateway una vez que autentican a cada cliente. Con la configuración de modo IKE, el gateway puede configurar una directiva scalable para un conjunto muy grande de los clientes sin importar los IP Addresses de esos clientes. Hay dos tipos de configuración de modo IKE: • Lanzamiento del gateway — El gateway inicia al modo de configuración con el cliente. Una vez que responde el cliente, el IKE modifica la identidad del remitente, se procesa el mensaje, y el cliente recibe una respuesta. • Lanzamiento del cliente — El cliente inicia al modo de configuración con el gateway. El gateway responde con una dirección IP que ha afectado un aparato para el cliente. Cómo configurar el IKE para el IPSec VPN Si usted no quisiera que el IKE fuera utilizado con su implementación del IPSec, usted puede inhabilitarla en todos los peeres IPSecs vía no crypto isakmp el comando, salta el resto de este capítulo, y comienza su IPSec VPN. Observesi usted inhabilitan el IKE, usted tiene que manualmente especificar todo el SA de IPSec en las correspondencias de criptografía en todos los pares, el SA de IPSec de los pares nunca mide el tiempo hacia fuera para dado sesión IPSec, las claves de encripción nunca cambia durante las sesiones del IPSec entre los pares, los servicios de la anti-respuesta no estarán disponibles entre los pares, y el soporte del Public Key Infrastructure (PKI) no puede ser utilizado. El IKE se habilita por abandono. El IKE no tiene que ser habilitado para las interfaces individuales, sino que se habilita global para todas las interfaces en el router. Realice las tareas siguientes de proporcionar la autenticación de los peeres IPSecs, negocie el SA de IPSec, y establezca las claves del IPSec: • Creando las políticas IKE (requeridas) • Configurando la autenticación IKE (requerida) • Configuración del Modo de Configuración de IKE • Configurar una correspondencia de criptografía IKE para la negociación IPSec SA Crear las políticas IKE Realice esta tarea de crear una política IKE. Restricciones Si usted está configurando una política IKE AES, observe las restricciones siguientes: • Su router debe soportar el IPSec y las claves largas (el subsistema del "k9"). • El AES no puede cifrar el IPSec y el tráfico IKE si un indicador luminoso LED amarillo de la placa muestra gravedad menor de la aceleración está presente. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto isakmp policy priority 4. encryption {des | 3des | aes | aes 192 | aes 256} 5. hash {sha | sha256 | sha384 | md5} 6. authentication {rsa-sig | rsa-encr | pre-share} 7. group {1 | 2 | 5 | 14 | 15 | 16 | 19 | 20} 8. lifetime seconds 9. exit 10. exit 11. show crypto isakmp policy 12. Relance estos pasos para cada directiva que usted quiera crear. PASOS DETALLADOS Paso 1 Comando o acción Propósito enable Habilita el modo EXEC privilegiado. Example: Router> enable Paso 2 configure terminal • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Example: Router# configure terminal Paso 3 crypto isakmp policy priority Example: Router(config)# crypto isakmp policy 10 Paso 4 Define una política IKE y ingresa al modo de configuración config-ISAKMP. • priority — Identifica únicamente la política IKE y asigna una prioridad a la directiva. Valores válidos: 1 a 10.000; 1 es la prioridad más alta. encryption {des | 3des | Especifica el algoritmo de encripción. aes | aes 192 | aes 256} Example: Router(config-isakmp)# encryption aes 256 • Por abandono, des se utiliza la palabra clave. des– — 56-bit DES-CBC 3des– — 168-bit DES aes– — 128-bit AES aes 192– — 192-bit AES aes 256– — 256-bit AES Paso 5 hash {sha | sha256 | sha384 | md5} Example: Router(config-isakmp)# hash sha Especifica el algoritmo de troceo. • Por abandono, se utiliza el SHA-1sha (). • sha256La palabra clave especifica el 256bit de la familia SHA-2 (variante HMAC) como el algoritmo de troceo. • sha384 La palabra clave especifica el 384bit de la familia SHA-2 (variante HMAC) como el algoritmo de troceo. • md5 La palabra clave especifica MD5 (variante HMAC) como el algoritmo de troceo. La notaMD5 tiene una publicación más pequeña y se considera para ser levemente más rápida que el SHA-1. Paso 6 authentication {rsa-sig | rsa-encr | pre-share } Especifica el método de autentificación. • Por abandono, se utilizan las firmas RSA. rsa-sig– — Las firmas RSA. requieren que usted configure a su Routers del par para obtener los Certificados de CA. Example: Router(config-isakmp)# authentication preshare rsa-encr– — Los nonces encriptados RSA requieren que usted se asegure que cada par tenga los claves públicas RSA del otro par. pre-share– — Las claves del preshared requieren que usted configure por separado estas claves del preshared. Paso 7 group {1 | 2 | 5 | 14 | 15 | 16 | 19 | 20 | 24 } Example: Router(configisakmp)# group 1 Especifica el identificador del grupo del DiffieHellman (DH). • Por abandono, se utiliza el group1 DH. 1– — 768-bit DH 2– — 1024-bit DH 5– — 1536-bit DH 14– — Especifica al grupo 2048-bit DH. 15– — Especifica al grupo 3072-bit DH. 16– — Especifica al grupo 4096-bit DH. 19– — Especifica el grupo elíptico de la curva DH (ECDH) del 256-bit. 20– — Especifica al grupo del 384-bit ECDH. 24– — Especifica al grupo 2048-bit DH/DSA. El grupo elegido debe ser bastante fuerte (tenga bastantes bits) proteger las claves del IPSec durante la negociación. Una guía de consulta generalmente aceptada recomienda el uso de un grupo 2048-bit después de 2013 (hasta 2030). El grupo 14 o el grupo 24 se puede seleccionar resolver esta guía de consulta. Incluso si un método de seguridad largo-vivo es necesario, el uso de la criptografía elíptica de la curva se recomienda, pero agrupa 15 y el grupo 16 puede también ser considerado. El grupo ISAKMP y el grupo del Confidencialidad directa perfecta (PFS) del IPSec deben ser lo mismo si se utiliza el PFS. Si el PFS no se utiliza, no configuran a un grupo en la correspondencia de criptografía del IPSec. Paso 8 lifetime seconds Example: Router(configisakmp)# lifetime 180 Especifica el curso de la vida IKE SA. • seconds — Mida el tiempo, en los segundos, antes de que expire cada SA. Valores válidos: 60 a 86.400; valor predeterminado: 86.400. Observecuanto más corto es el curso de la vida (hasta una punta), más seguras sus negociaciones IKE serán. Sin embargo, con cursos de la vida más largos, el SA de IPSec futuro se puede configurar más rápidamente. Paso 9 exit Da salida al modo de configuración config-ISAKMP. Example: Router(configisakmp)# exit Paso 10 exit Sale del modo de configuración global. Example: Router(config)# exit Paso 11 show crypto isakmp policy (Opcional) visualiza todas las políticas IKE existentes. Example: Router# show crypto isakmp policy Paso 12 Relance estos pasos para cada directiva que usted quiere crear. — Ejemplos La salida de muestra siguiente show crypto isakmp policy del comando visualiza un mensaje de advertencia después de que un usuario intente configurar un método de encripción IKE que el hardware no soporte: Router# show crypto isakmp policy Protection suite of priority 1 encryption algorithm: AES - Advanced Encryption Standard (256 bit keys). WARNING:encryption hardware does not support the configured encryption method for ISAKMP policy 1 hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 3600 seconds, no volume limit Consejos de Troubleshooting • Borre (y reinicialice) el SA de IPSec usando clear crypto sa el comando exec. Usando clear crypto sa el comando sin los parámetros vaciará la base de datos completa SA, que vaciará las sesiones de la seguridad activa. Usted puede también especificar peer map, o entry las palabras claves para vaciar solamente un subconjunto de la base de datos SA. Para más información, vea clear crypto sa el comando en la referencia de comandos de la Seguridad de Cisco IOS. • La política predeterminada y los valores predeterminados para las directivas configuradas no aparecen en la configuración cuando usted publica show running-config el comando. Para visualizar la política predeterminada y cualquier valor predeterminado dentro de las directivas configuradas, utilice show crypto isakmp policy el comando. • Cualquier IPSec transforma o los métodos de encripción IKE que el hardware actual no soporta deben ser inhabilitados; se ignoran siempre que se haga una tentativa de negociar con el par. Si un usuario ingresa un IPSec transforme o un método de encripción IKE que el hardware no soporta, un mensaje de advertencia será generado. Estos mensajes de advertencia también se generan en el tiempo del inicio. Cuando se inserta un indicador luminoso LED amarillo de la placa muestra gravedad menor cifrado, se analiza la configuración actual. Si cualquier IPSec transforma o se encuentran los métodos de encripción IKE que no son soportados por el hardware, un mensaje de advertencia será generado. Pasos Siguientes Dependiendo de qué método de autentificación usted especificó en sus políticas IKE (firmas RSA., nonces encriptados RSA, o las claves del preshared), usted debe hacer ciertas tareas de configuración adicionales antes de que el IKE y el IPSec puedan utilizar con éxito las políticas IKE. Para la información sobre completar estas tareas adicionales, refiera a “configurar la autenticación IKE” sección.” Para configurar un basado en AES transforme el conjunto, ven el módulo “Configurar directivo de seguridad para los VPN con el IPSec.” Configurar la autenticación IKE Después de que usted haya creado por lo menos una política IKE en la cual usted especificó un método de autentificación (o validado el método predeterminado), usted necesita configurar un método de autentificación. Las políticas IKE no se pueden utilizar por el IPSec hasta que el método de autentificación se configure con éxito. Para configurar la autenticación IKE, usted debe realizar una de las tareas siguientes, como apropiado: • Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA • Configuración de Llaves Previamente Compartidas Prerrequisitos Usted debe haber configurado por lo menos una política IKE, que es donde el método de autentificación fue especificado (o las firmas RSA. fueron validadas por abandono). Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA Observeesta tarea puede ser realizado solamente si CA es parado. Para configurar manualmente las claves RSA, realice esta tarea para cada peer IPSec que utilice los nonces encriptados RSA en una política IKE. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto key generate rsa {general-keys | usage-keys} []label key-labeldel []exportabledel []modulus modulus-size 4. crypto key generate ec keysize [256 | 384] []label label-string 5. exit 6. show crypto key mypubkey rsa 7. configure terminal 8. crypto key pubkey-chain rsa 9. named-key key-name [encryption | signature] o addressed-key key-address [encryption | signature] 10. address ip-address 11. key-string key-string 12. quit 13. Repita estos pasos en cada peer que utilice los nonces encriptados RSA en una política IKE. 14. exit 15. exit 16. show crypto key pubkey-chain rsa [name key-name | address key-address] PASOS DETALLADOS Paso 1 Comando o acción Propósito enable Habilita el modo EXEC privilegiado. Example: Router> enable Paso 2 configure terminal Example: Router# configure terminal Paso 3 Ingresa en el modo de configuración global. crypto key generate rsa {general- Genera las claves RSA. keys | usage-keys} [label key• Si key-label un argumento no se label] [exportable] [modulus especifica, se utiliza el valor modulus-size] Example: Router(config)# crypto key generate rsa general-keys modulus 360 Paso 4 • Ingrese su contraseña si se le pide que lo haga. crypto key generate ec keysize [ 256 | 384] [label label-string] Example: Router(config)# crypto key generate ec keysize 256 label Router_1_Key predeterminado, que es el nombre de dominio completo (FQDN) del router. Genera las claves EC. • La palabra clave 256 especifica un 256-bit keysize. • Los 384 que la palabra clave especifica un 384-bit keysize. • Una escritura de la etiqueta se puede especificar para la clave EC usando label la palabra clave y label-string el argumento. Observesi una escritura de la etiqueta no se especifica, después se utiliza el valor FQDN. Paso 5 exit Example: Router(config)# exit Paso 6 show crypto key mypubkey rsa Example: Router# show crypto key mypubkey rsa Paso 7 configure terminal Example: Router# configure terminal Paso 8 crypto key pubkey-chain rsa Example: Router(config)# crypto key pubkey-chain rsa Paso 9 named-key key-name [encryption | signature] Example: Router(config-pubkeychain)# named-key otherpeer.example.com o addressed-key key-address [encryption | signature] Example: Router(config-pubkeychain)# addressed-key 10.1.1.2 encryption Paso 10 address ip-address Example: Router(config-pubkeykey)# address 10.5.5.1 Paso 11 key-string key-string Example: Router(config-pubkey-key)# key-string Router(config-pubkey)# 00302017 4A7D385B 1234EF29 335FC973 Router(config-pubkey)# 2DD50A37 C4F4B0FD 9DADE748 429618D5 (Opcional) Sale del modo de configuración global. (Opcional) visualiza los claves públicas generados RSA. Vuelve al modo de configuración global. Ingresa el modo de configuración del encadenamiento de clave pública (así que le puede especificar manualmente los claves públicas RSA de los otros dispositivos). Indica especificará el clave pública RSA de qué peer remoto usted y ingresa al modo de configuración del clave pública. • Si el peer remoto utiliza su nombre de host como su identidad ISAKMP, utilice named-key el comando y especifique el FQDN del peer remoto, tal como somerouter.example.com, como key-name. • Si el peer remoto utiliza su dirección IP como su identidad ISAKMP, utilice addressed-key el comando y especifique la dirección IP del peer remoto como keyaddress. Especifica la dirección IP del peer remoto. • Si usted utiliza named-key el comando, usted necesita utilizar este comando de especificar la dirección IP del par. Especifica el clave pública RSA del peer remoto. • (Esta clave fue vista previamente por el administrador del peer remoto cuando las claves RSA del router remoto fueron generadas.) Router(config-pubkey)# 18242BA3 2EDFBDD3 4296142A DDF7D3D8 Router(config-pubkey)# 08407685 2F2190A0 0B43F1BD 9A8A26DB Router(config-pubkey)# 07953829 791FCDE9 A98420F0 6A82045B Router(config-pubkey)# 90288A26 DBC64468 7789F76E EE21 Paso 12 quit Example: Router(config-pubkey-key)# quit Devoluciones al modo de configuración del encadenamiento de clave pública. Paso 13 — Repita estos pasos en cada peer que utilice los nonces encriptados RSA en una política IKE. Paso 14 exit Vuelve al modo de configuración Example: Router(config-pubkey-key)# exit Paso 15 exit global. Vuelve al modo EXEC privilegiado. Example: Router(config)# exit Paso 16 show crypto key pubkey-chain rsa [name key-name | address keyaddress] Example: Router# show crypto key pubkeychain rsa (Opcional) visualiza cualquier una lista de todos los claves públicas RSA que se salven en su router o detalles de una clave determinada RSA que se salve en su router. Configuración de Llaves Previamente Compartidas Para configurar las claves del preshared, realice estos pasos para cada par que utilice las claves del preshared en una política IKE. Restricciones • Las claves del preshared no escalan bien con una red cada vez mayor. • Las claves del preshared de la máscara tienen las restricciones siguientes: – El SA no se puede establecer entre los peeres IPSecs hasta que configuren a todos los peeres IPSecs para la misma clave del preshared. – La clave del preshared de la máscara debe ser distintamente diferente para los usuarios remotos que requieren los niveles variables de autorización. Usted debe configurar una nueva clave del preshared para cada nivel de confianza y asignar las claves correctas a los partidos correctos. Si no, un partido untrusted puede obtener el acceso a los datos protegidos. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto isakmp identity {address | dn | hostname} 4. ip host hostname address1 []address2...address8 5. crypto isakmp key keystring address peer-address []maskdel []no-xauth o crypto isakmp key keystring hostname hostname []no-xauth 6. crypto isakmp key keystring address peer-address []maskdel []no-xauth o crypto isakmp key keystring hostname hostname []no-xauth 7. Relance estos pasos para cada par que utilice las claves del preshared. PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto isakmp identity { address | dn | hostname} 3 Especifica la identidad ISAKMP del par por la dirección IP, por el nombre de host del Nombre distintivo (DN) en el peer local. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# configure terminal Example: Router(config)# crypto isakmp identity address • address — Utilizado típicamente cuando solamente una interfaz (y por lo tanto solamente una dirección IP) serán utilizadas por el par para las negociaciones IKE, y se sabe la dirección IP. • dn — Utilizado típicamente si se va el DN de un certificado del router a ser especificado y a ser elegido como la identidad ISAKMP durante el proceso IKE. La palabra clave dn se utiliza solamente para la autenticación basada en el certificado. • hostname — Debe ser utilizado si más de una interfaz en el par se pudo utilizar para las negociaciones IKE, o si la dirección IP de la interfaz es desconocida (por ejemplo con dinámicamente los IP Address asignados). Paso ip host hostname address1 [ Si la identidad ISAKMP del peer local fue address2...address8] 4 especificada usando un nombre de host, asocia el nombre del host del par a su dirección IP en todos Example: los peeres remotos. Router(config)# ip host RemoteRouter.example.com 192.168.0.1 (Este paso pudo ser innecesario si el nombre de host o el direccionamiento se asocia ya en un servidor DNS.) Paso crypto isakmp key keystring Especifica en el peer local la clave compartida que address peer-address [mask se utilizará con un peer remoto determinado. 5 ] [no-xauth] • Si el peer remoto especificó su identidad ISAKMP con un direccionamiento, utilice address la palabra clave en este paso; si no utilice hostname la palabra clave en este paso. Example: Router(config)# crypto isakmp key sharedkeystring address 192.168.1.33 noxauth no-xauth—– Evita que el router indique al par para la información del Xauth. Utilice esta palabra clave si el IPSEC de router a router está en la misma correspondencia de criptografía que el IPSec IOS de VPN-cliente-a-Cisco. o Observesegún el diseño de la clave de autentificación del preshared en el modo principal IKE, las claves del preshared debe ser basado en la dirección IP de los pares. Aunque usted pueda enviar un nombre de host como la identidad de una clave de autentificación del preshared, la clave se busca en la dirección IP del par; si la clave no se encuentra que (basado en la dirección IP) la negociación fallará. crypto isakmp key keystring hostname hostname [noxauth] Example: Router(config) crypto isakmp key sharedkeystring hostname RemoteRouter.example.com Paso crypto isakmp key keystring Especifica en el peer remoto la clave compartida address peer-address [mask que se utilizará con el peer local. 6 ] [no-xauth] • Ésta es la misma clave que usted acaba de especificar en el peer local. Example: Router(config) crypto isakmp key sharedkeystring address 10.0.0.1 • Si el peer local especificó su identidad ISAKMP con un direccionamiento, utilice address la palabra clave en este paso; si no utilice hostname la palabra clave en este paso. o crypto isakmp key keystring hostname hostname [noxauth] Example: Router(config) crypto isakmp key sharedkeystring hostname LocalRouter.example.com Paso Repeat these steps at each peer that uses preshared 7 — keys in an IKE policy. Configuración del Modo de Configuración de IKE Restricciones La configuración de modo IKE tiene las restricciones siguientes: • Las interfaces con las correspondencias de criptografía que se configuran para la configuración de modo IKE pueden experimentar una época de configuración de conexión levemente más larga, que es verdad incluso para los pares IKE que rechazan ser configurados o no responden a la petición del modo de configuración. En ambos casos, el gateway inicia la configuración del cliente. • Esta característica no fue diseñada para habilitar al modo de configuración para cada conexión IKE por abandono. Configure esta característica en el nivel global de la correspondencia de criptografía. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip local pool pool-name start-addr end-addr 4. crypto isakmp client configuration address-pool local pool-name 5. crypto map tag client configuration address [initiate | respond] PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga. Example: Router> enable Paso configure terminal 2 Ingresa en el modo de configuración global. Paso ip local pool pool-name start-addr end-addr 3 Define un pool existente de la dirección local que define un conjunto de los direccionamientos. Example: Router# configure terminal Example: Router(config)# ip local pool pool1 172.16.23.0 172.16.23.255 Paso crypto isakmp client configuration address-pool local pool-name 4 Se refiere al pool de la dirección local a la configuración IKE. Example: Router(config)# crypto isakmp client configuration address-pool local pool1 Paso crypto map tag client configuration address [initiate | respond] 5 Example: Router(config)# crypto map dyn client configuration address initiate Configuración de modo de las configuraciones IKE en el modo de configuración global. Configurar una correspondencia de criptografía IKE para la negociación IPSec SA PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto map tag sequence ipsec-isakmp 4. set pfs {group1 | group2 | group5 | group14 | group15 | group16 | group19 | group20} PASOS DETALLADOS Comando o acción Propósito Paso enable 1 Habilita el modo EXEC privilegiado. Paso configure terminal 2 Ingresa en el modo de configuración global. Paso crypto map tag sequence ipsec-isakmp 3 Especifica la correspondencia de criptografía y ingresa al modo de configuración de la correspondencia de criptografía. Example: Router> enable • Ingrese su contraseña si se le pide que lo haga. Example: Router# configure terminal Example: Router(config)# crypto map example 1 ipsec- • tag El argumento especifica la correspondencia de criptografía. ipsec-isakmp • sequence El argumento especifica la secuencia para insertar en la entrada de correspondencia de criptografía. • ipsec-isakmp La palabra clave especifica el IPSec con IKEv1 (ISAKMP). Paso set pfs {group1 | group2 | group5 | group14 | 4 group15 | group16} Especifica el identificador del grupo DH para la negociación IPSec SA. • Example: Router(configisakmp)# set pfs 14 Por abandono, se utiliza el group1 DH. group1– — 768-bit DH group2– — 1024-bit DH group5– — 1536-bit DH group14– — Especifica al grupo 2048-bit DH. group15– — Especifica al grupo 3072-bit DH. group16– — Especifica al grupo 4096-bit DH. El grupo elegido debe ser bastante fuerte (tenga bastantes bits) proteger las claves del IPSec durante la negociación. Una guía de consulta generalmente aceptada recomienda el uso de un grupo 2048-bit después de 2013 (hasta 2030). Cualquier grupo 14 se puede seleccionar resolver esta guía de consulta. Incluso si un método de seguridad largo-vivo es necesario, el uso de la criptografía elíptica de la curva se recomienda, pero agrupa 15 y el grupo 16 puede también ser considerado. Ejemplos de Configuración de una Configuración de IKE Esta sección contiene los ejemplos de configuración siguientes: • Creación de Políticas IKE: Ejemplos • Configuración de la Autenticación IKE: Ejemplo: Creación de Políticas IKE: Ejemplos Esta sección contiene los siguientes ejemplos, que muestran cómo configurar una política IKE 3DES y una política IKE AES: • Creación de Políticas IKE 3DES: Ejemplo: • Creación de una Política IKE AES: Ejemplo: Creación de Políticas IKE 3DES: Ejemplo: Este ejemplo crea dos políticas IKE, con la directiva 15 como la prioridad más alta, la directiva 20 como la prioridad siguiente, y la prioridad predeterminada existente como la prioridad más baja. También crea una llave precompartida que se utilizará con la política 20 con el peer remoto cuya dirección IP sea 192.168.224.33. crypto isakmp policy 15 encryption 3des hash md5 authentication rsa-sig group 2 lifetime 5000 ! crypto isakmp policy 20 authentication pre-share lifetime 10000 ! crypto isakmp key 1234567890 address 192.168.224.33 En el ejemplo, el cifrado DES de la directiva 15 no aparecería en la configuración escrita porque éste es el valor predeterminado para el parámetro del algoritmo de encripción. Si show crypto isakmp policy el comando se publica con esta configuración, la salida es como sigue: Protection suite priority 15 encryption algorithm:3DES - Triple Data Encryption Standard (168 bit keys) hash algorithm:Message Digest 5 authentication method:Rivest-Shamir-Adleman Signature Diffie-Hellman group:#2 (1024 bit) lifetime:5000 seconds, no volume limit Protection suite priority 20 encryption algorithm:DES - Data Encryption Standard (56 bit keys) hash algorithm:Secure Hash Standard authentication method:preshared Key Diffie-Hellman group:#1 (768 bit) lifetime:10000 seconds, no volume limit Default protection suite encryption algorithm:DES - Data Encryption Standard (56 bit keys) hash algorithm:Secure Hash Standard authentication method:Rivest-Shamir-Adleman Signature Diffie-Hellman group:#1 (768 bit) lifetime:86400 seconds, no volume limit Observe que aunque la salida no muestre “ningún límite del volumen” para los cursos de la vida, usted puede configurar solamente un Time Lifetime (tal como 86.400 segundos); los cursos de la vida del volumen-límite no son configurables. Creación de una Política IKE AES: Ejemplo: El siguiente ejemplo es salida de muestra show running-config del comando. En este ejemplo, se habilita la clave del 256-bit AES. Current configuration : 1665 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname "Router1" ! ! ip subnet-zero ! ! no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 10 encryption aes 256 authentication pre-share lifetime 180 crypto isakmp key cisco123 address 10.0.110.1 ! ! crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac mode transport ! crypto map aesmap 10 ipsec-isakmp set peer 10.0.110.1 set transform-set aesset match address 120 ! . . . Configuración de la Autenticación IKE: Ejemplo: Las demostraciones del siguiente ejemplo cómo especificar manualmente los claves públicas RSA del peer IPSec dos — el par en las claves de fines generales de las aplicaciones de 10.5.5.1, y el otro par utiliza las claves del especial-uso: crypto key pubkey-chain rsa named-key otherpeer.example.com address 10.5.5.1 key-string 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 quit exit addressed-key 10.1.1.2 encryption key-string 00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21 quit exit addressed-key 10.1.1.2 signature key-string 0738BC7A 2BC3E9F0 679B00FE 53987BCC 01030201 42DD06AF E228D24C 458AD228 58BB5DDD F4836401 2A2D7163 219F882E 64CE69D4 B583748A 241BED0F 6E7F2F16 0DE0986E DF02031F 4B0B0912 F68200C4 C625C389 0BFF3321 A2598935 C1B1 quit exit exit Adonde ir después Después de que usted haya configurado con éxito la negociación IKE, usted puede comenzar a configurar el IPSec. Para la información sobre completar estas tareas, vea el módulo “Configurar directivo de seguridad para los VPN con el IPSec.” Referencias adicionales Documentos Relacionados Tema relacionado Título del documento Configuración IPSec Configurar directivo de seguridad para los VPN con el IPSec Versión 2 IKE Configurando el intercambio de claves de Internet versión 2 (IKEv2) Configurar las claves RSA para obtener los Certificados de Implementación de Llaves RSA Dentro CA de un PKI IKE, IPSec, y comandos configuration PKI: sintaxis, modo de comando, valores por defecto, Pautas para el uso, y ejemplos del comando complete Referencia de Comandos de Seguridad de Cisco IOS La habitación-B ESP transforma Configurar directivo de seguridad para los VPN con el módulo de función del IPSec. El tipo del algoritmo de la integridad de la habitación-B transforma la configuración. Configurar el módulo de función del intercambio de claves de Internet versión 2 (IKEv2). Soporte elíptico de Diffie Hellman de la curva de la habitación-B (ECDH) para la negociación IPSec SA Configurar los módulos de función del intercambio de claves de Internet versión 2 (IKEv2). Soporte de la habitación-B para la inscripción del certificado para un PKI. Configurar la inscripción del certificado para un módulo de función PKI. Estándares Estándares Título Ninguno — MIB MIB Link del MIB Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente: http://www.cisco.com/cisco/web/LA/support/index.html RFC RFC Título RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP) RFC 2409 El Internet Key Exchange (IKE) RFC 2412 El Protocolo de determinación de claves OAKLEY Asistencia Técnica Descripción Link El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Información de la característica para configurar el IKE para el IPSec VPN La Tabla 1 muestra el historial de versiones de esta función. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere. Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Nombre de la función Capacidad de inhabilitar la autenticación ampliada para los peeres IPSecs estáticos Versiones Información sobre la Función 12.2(4)T Esta característica permite que un usuario inhabilite el Xauth mientras que configura la clave del preshared para el IPSEC de router a router. Así, el router no indicará al par para un nombre de usuario y contraseña, se transmiten que cuando el Xauth ocurre para el IPSec VPN-cliente-a-Cisco-IOS. La sección siguiente proporciona la información sobre esta característica: • Configuración de Llaves Previamente Compartidas Esta función ha modificado los siguientes comandos: crypto isakmp key. Advanced 12.2(8)T Encryption Standard (AES) Esta característica agrega el soporte para la nueva norma de encripción AES, que es una aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el DES. Las secciones siguientes proporcionan información acerca de esta función: • Estándares Soportados para su Uso con IKE • Restricciones Los siguientes comandos fueron modificados por esta función: crypto ipsec transform-set, encryption (Política IKE) show crypto ipsec transform-setshow crypto isakmp policy. Cifrado del SELLO 12.3(7)T Esta característica agrega el soporte para el cifrado del SELLO en el IPSec. La sección siguiente proporciona la información sobre esta característica: • Estándares Soportados para su Uso con IKE Esta función ha modificado los siguientes comandos: crypto ipsec transform-set. Soporte de la 15.1(2)T habitación-B en IOS SW crypto La habitación-B agrega el soporte en el Cisco IOS para el algoritmo de troceo de la familia SHA-2 (variante HMAC) usado para autenticar los datos del paquete y para verificar los mecanismos de verificación de la integridad para el IKE Protocol. HMAC es una variante que proporciona un nivel adicional de hashing. Esta característica también agrega el soporte elíptico de Diffie Hellman de la curva (ECDH) para la negociación IPSec SA. Vea Configurar directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de la habitación-B del Cisco IOS. Las secciones siguientes proporcionan información acerca de esta función: • Estándares Soportados para su Uso con IKE • Pares IKE que convienen en una política IKE que corresponde con • Configurar una correspondencia de criptografía IKE para la negociación IPSec SA Esta función ha modificado los siguientes comandos: authentication crypto key generate ec keysize crypto map group hash set pfs. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses used in this document are not intended to be actual addresses. Any examples, command display output, and figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses in illustrative content is unintentional and coincidental. © 2005-2010 Cisco Systems, Inc. All rights reserved. © 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1074/1074053_sec_key_exch_ipsec_ps6922_TSD_Products_Configuration_Guide_Chapter.html